A Lei Geral de Proteção de Dados Pessoais (LGPD) aplica-se a todas as pessoas, físicas e jurídicas, que realizem qualquer forma de tratamento de dados pessoais, desde que: i) realizado dentro do território nacional; ii) tenha por objetivo a oferta de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou iii) os dados pessoais a serem tratados tenham sido coletados no território nacional (art. 3º da LGPD).
Como se pode ver, a aplicação da LGPD tem abrangência considerável, principalmente quando se leva em consideração a amplitude significativa do conceito de dados pessoais, já discutida em artigo anterior.
Portanto, para que seja possível mensurar corretamente a aplicabilidade da LGPD, assim como determinar quais as operações realizadas às quais se aplicam suas disposições e quais obrigações são imputadas aos responsáveis pelas mesmas, primeiro deve se entender o que a legislação determina ser o tratamento de dados pessoais.
Tratamento, para a LGPD, é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 5º ,inciso X da LGPD).
Importante notar de início que, basicamente, tratamento é “toda operação realizada com dados pessoais”, sendo o resto da definição contida em lei somente uma lista exemplificativa de situações que caracterizam o tratamento, sem, porém, limitar tal definição às formas listadas.
Ou seja, a realização de operações envolvendo dados pessoais não listadas na lei também deverão observar as disposições contidas na LGPD – mesmo que se trate de operações novas, as quais não existiam quando da entrada em vigor da legislação.
Além disso, a LGPD traz obrigações específicas que devem ser seguidas por cada um dos chamados “agentes de tratamento”, que podem ser caracterizados como “controlador” e/ou “operador”.
Controlador é, em síntese, a pessoa a quem competem as decisões referentes ao tratamento de dados pessoais, e operador a pessoa que efetivamente realiza o tratamento de dados, em nome do controlador.
Deve se observar que uma só pessoa poderá, dependendo da operação de tratamento de dados realizada, estar, ao mesmo tempo, na posição de controladora e operadora, ficando, portanto, obrigada ao cumprimento das disposições referentes a ambas as posições.
Diante disso, é recomendável às pessoas, jurídicas ou físicas, que realizem qualquer forma de tratamento de dados, que busquem o auxílio de profissionais com o conhecimento técnico apropriado, para que possam apurar de forma adequada quais as operações de tratamento de dados que realizam e qual seu papel nas mesmas, para que possam adotar as medidas necessárias para o cumprimento de suas obrigações legais.
Notícias
Artigos
Cases
